A seguito delle interpolazioni effettuate dalla L. 48/2008, l’art. 244 c.p.p. consente all’autorità giudiziaria, quando occorre accertare le tracce e gli altri effetti materiali del reato, di disporre «rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici»132. L’art. 247, comma 1-bis, c.p.p. permette, altresì, di perquisire sistemi informatici e telematici, qualora vi sia fondato motivo di ritenere che essi contengano dati, informazioni, programmi informatici o tracce comunque pertinenti al reato. In entrambi i casi, dovranno essere adottate misure tecniche in grado di assicurare la genuinità e la non alterazione del dato.
Anzitutto, pare opportuno dedicare qualche considerazione alla possibilità stessa di configurare, in astratto, un’ispezione informatica. Invero, l’ispezione è tradizionalmente ricostruita quale analisi esterna, scevra di qualsiasi apporto valutativo, di una res133. Ebbene, pare arduo configurare una «operazione tecnica»
130 In questi termini ancora L.LUPARIA, La ratifica della Convenzione Cybercrime del Consiglio d’Europa (L. 18 marzo 2008 n. 48). I profili processuali, cit., p. 719, nonché ID., I correttivi alle distorsioni
sistematiche contenute nella recente legge di ratifica della Convenzione sul Cybercrime, cit., pp. 64-65. 131 Così, esplicitamente, S.FASOLIN, La copia di dati informatici nel quadro delle categorie processuali, in Dir. pen. proc, 2012, p. 372.
132 La collocazione dell’ispezione informatica nel comma 2 dell’art. 244 c.p.p. potrebbe far ritenere che tale
mezzo di ricerca della prova sia esperibile soltanto qualora «il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi» (art. 244, comma 2, c.p.p.). In realtà, non pare revocabile in dubbio che, nonostante l’infelice collocazione topografica della nuova disposizione, essa debba ritenersi riferita ad ogni caso in cui occorra «accertare le tracce e gli altri effetti materiali del reato» (art. 244, comma 1, c.p.p.). V., al riguardo, L.CORDÌ, L. 18.3.2008 n. 48 (Criminalità
informatica) – Art. 8, in Legisl. pen., 2008, pp. 286-287.
133 È noto l’insegnamento di F.CORDERO, Procedura penale, IX ed., Giuffrè, Milano, 2012, p. 827, secondo
41
su un sistema informatico che si limiti ad una mera verifica esterna dello stesso, senza alcun accesso ai dati all’interno del sistema.
Il primo stadio della ricerca può, dunque, incentrarsi sull’indagine circa l’effettivo spazio operativo dell’art. 244 c.p.p. con riferimento a sistemi informatici e telematici. Secondo una prima esegesi ricostruttiva, che affonda le proprie radici nella prassi, sarebbe possibile, nel corso di un’ispezione, effettuare, dapprima, una copia del sistema informatico o telematico, utilizzando la tecnica della bit stream image134, e, successivamente, l’elaborazione e l’analisi del dato così acquisito135.
Se, per un verso, è lodevole l’accento posto sulla necessità di operare su un duplicato del dato, al fine di non inquinare l’elemento di prova originario, per altro verso, deve rilevarsi che tale impostazione pare fondarsi su un equivoco: considerare come oggetto dell’attività di ricerca della prova non il dato, bensì il contenitore (ad esempio, il computer su cui sono memorizzati i file di interesse investigativo). Poiché quest’ultimo non viene acquisito – viene, invero, creata solo una copia-clone del sistema –, si ritiene di operare nell’ambito dell’ispezione e al di fuori del sequestro.
In realtà, l’attività di duplicazione di dati informatici, giacché si traduce nell’ablazione di una res, sia pure immateriale, pare rientrare non già tra le ispezioni o le perquisizioni, quanto proprio nell’alveo del sequestro. Volendo ricercare un referente normativo per questa attività tecnica, non sembrano venire in considerazione le «misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione» degli artt. 244 e 247 c.p.p.136, quanto, piuttosto, gli artt. 254-bis e 260, comma 2, c.p.p., i quali – anch’essi introdotti dalla L. 48/2008 – prevedono che il dato informatico sia duplicato «su adeguati supporti, mediante procedura che assicuri la conformità della copia all’originale e la sua
134 La bit stream image, o copia forense, consiste in una perfetta riproduzione, bit per bit, di un qualsiasi
dispositivo di riproduzione. Tale opera di clonazione riguarda tutte le aree del disco, comprese quelle che non contengono alcun file visibile all’utente (aree non allocate), il che permette il recupero di file (o porzioni di esso) cancellati.
135 In questo senso G.BRAGHÒ, L’ispezione e la perquisizione di dati, informazioni e programmi informatici,
in L.LUPARIA (a cura di), Sistema penale e criminalità informatica, cit., p. 196, L.CORDÌ, op. cit., p. 290 ss.,
A. CISTERNA, Perquisizioni in caso di fondato motivo, in Guida dir., n. 16, 2008, p. 66, nonché, anteriormente alla riforma, ID., Esplorazioni limitate sul computer del cronista anche se c’è rivelazione di
segreti professionali, in Guida dir., 2007, n. 31, p. 64 ss.
136 Contra L.LUPARIA, La ratifica della Convenzione Cybercrime del Consiglio d’Europa (L. 18 marzo 2008 n. 48). I profili processuali, cit., p. 719.
42
immodificabilità». E l’art. 254-bis c.p.p. esplicitamente definisce “sequestro” l’attività in questione.
A tal proposito, basti evidenziare che non sembra priva di solidità concettuale quella ricostruzione dottrinale che, prendendo atto delle modalità concrete con cui viene realizzata una perquisizione, ha evidenziato una mutazione genetica dell’istituto: se, tradizionalmente, la perquisizione costituisce l’antecedente logico e giuridico del sequestro, quella informatica «si presta a essere eseguita non prima ma dopo il sequestro» dell’apparecchiatura o del dato137. Invero, dapprima si sequestra, come già chiarito, il dato informatico mediante copia forense dell’intero sistema, o addirittura mediante sequestro “fisico” dell’hard disk; in seguito si scruta all’interno del medesimo alla ricerca dei dati utili all’indagine138.
Viene, a questo punto, in considerazione quella diversa linea interpretativa secondo cui l’attività ispettiva avente ad oggetto un sistema informatico dovrebbe essere limitata ad un’osservazione del medesimo. In particolare, si potrebbe, in tale sede, segnalare «la presenza di periferiche collegate o scollegate, […] [oppure] di particolari sistemi hardware o software o l’utilizzo e la presenza di sistemi particolari di connessione o di supporti informatici di pertinenza»139.
Tuttavia, si profila subito un’obiezione: tale ricostruzione mal si accorda con l’imposizione di adottare misure tecniche finalizzate alla conservazione e alla non modificazione del dato. Tale inciso, infatti, sembra adombrare una condotta attiva degli operanti sulla strumentazione.
Il punto di partenza per la risoluzione del problema pare offerto da una lettura combinata degli artt. 244, comma 2, e 247, comma 1-bis c.p.p. In particolare, è utile notare che, mentre l’art. 244, comma 2, c.p.p. fa generico riferimento, quale oggetto dell’attività ispettiva, a «sistemi informatici o telematici», con riferimento
137 Così F.M.MOLINARI, Questioni in tema di perquisizione e sequestro di materiale informatico, in Cass. pen., 2012, p. 708.
138 Sulle peculiarità delle perquisizioni informatiche, nella prospettiva nordamericana, v. L.R. ROBINTON, Courting Chaos: Conflicting Guidance from Courts Highlights the Need for Clearer Rules to Govern the Search and Seizure of Digital Data, in 12 Yale J. L., 2010, p. 311 ss.; O.KERR, Ex Ante Regulation of
Computer Search and Seizure, in 96 Va. L. Rev., 2010, p. 1241 ss.; ID., Search Warrants in an Era of Digital
Evidence, in 75 Miss. L. J., 2005, 85 ss.; ID., Searches and Seizures in a Digital World, in 119 Harv. L. Rev., 2005, p. 531 ss.
139 In questi termini S.ATERNO, Art. 8. Modifiche al titolo III del libro terzo del codice di procedura penale,
in G.CORASANITI-G.CORRIAS LUCENTE, Cybercrime, responsabilità degli enti e prova digitale. Commento
43
alla perquisizione informatica, l’art. 247, comma 1-bis, c.p.p. fa espresso riferimento ai «dati, informazioni, programmi informatici o tracce comunque pertinenti al reato» localizzati all’interno dei sistemi in questione140.
Si può, quindi, in via di prima approssimazione, abbozzare la seguente conclusione: qualora occorra accertare le tracce o gli altri effetti materiali del reato, si può procedere ad un’ispezione – sia dell’esterno (involucro) sia dell’interno (software in uso) – di un sistema informatico o telematico, e, in particolare, alla descrizione dello stato dell’apparecchiatura, inclusa l’eventuale presenza di periferiche collegate al sistema, fino alla verifica dei processi in corso; ma oltre tale step gli operanti non possono procedere. Naturalmente, tali attività devono essere effettuate mediante l’ausilio di software write-blocker, per evitare che il dato venga modificato: si giustifica, così, l’inciso di cui alla parte finale dell’art. 244, comma 2, c.p.p.
L’attività degli inquirenti in sede di perquisizione, invece, può spingersi oltre: essi possono compiere operazioni sui dati contenuti nell’apparecchiatura, quale l’apertura di cartelle e programmi141; anche in questo caso, come imposto dall’art. 247, comma 1-bis, c.p.p., le operazioni devono essere realizzate mediante l’ausilio di strumentazione utile ad impedire l’alterazione del dato142. Inoltre, com’è ovvio, tali operazioni debbono essere ineludibilmente finalizzate alla ricerca del corpo del reato o, comunque, di tracce pertinenti al reato.
Deve, tuttavia, riconoscersi che, così ricostruiti i due istituti, il confine tra loro appare assai labile143.
140 Cfr. P.PERRI, Computer forensics (Indagini informatiche), cit., p. 104.
141 Cfr. G.BONO, Illegittimità dei provvedimenti di perquisizione e sequestro delle credenziali di accesso al sistema di prenotazione di voli aerei on line, in Cass. pen., 2013, pp. 1529-1530.
142 Contra L.CORDÌ, op. cit., p. 291, per cui il significato degli incisi relativi alla tutela della genuinità del
dato muta secondo la natura dell’istituto: nel caso dell’art. 244, comma 2, c.p.p. le misure servono «in ragione della duplicazione ed a presidio dell’autenticità della stessa»; nel caso dell’art. 247, comma 2, c.p.p. le misure conservative sono strumentali al successivo sequestro. Per A.VITALE, La nuova disciplina delle
ispezioni e delle perquisizioni in ambiente informatico o telematico, in Dir. internet, 2008, p. 508,
l’imposizione, da parte del legislatore, dell’obbligo di adottare misure conservative esplicita «la regola per cui le ispezioni e le perquisizioni (cioè atti, normalmente, irripetibili) concernenti supporti informatici o telematici vanno sempre rese attività ripetibili in futuro; naturalmente, ciò è realizzabile solo se si agisce in una dimensione digitale, giacché, nel mondo reale, l’irripetibile non può artificiosamente essere reso ripetibile».
143 Il confine tra i due istituti appare ancor meno distinto qualora l’attività investigativa abbia ad oggetto un
sistema di cloud computing. Come è stato esattamente osservato, infatti, in simile ipotesi, «un’attività invasiva di accesso interno al sistema e di utilizzo degli strumenti informatici potrebbe provocare
44
A ben vedere, il problema è a monte: vale a dire, nella scelta di fondo operata dalla L. 48/2008. I più attenti commentatori hanno avvertito come l’intervento riformatore abbia «implicitamente ripudiat[o] la visione […] secondo cui perquisizioni e ispezioni non sarebbero istituti idonei allo svolgimento di azioni di digital investigation incidenti in via diretta sul contenuto dei sistemi informatici, quanto piuttosto strumenti procedurali da confinare alla sola ricerca dell’involucro “esterno” racchiudente i dati elettronici»144. Mentre l’analisi del dato dovrebbe avvenire mediante i tradizionali strumenti degli accertamenti tecnici di cui agli artt. 359-360 c.p.p.
Eppure, sono evidenti i vantaggi di un siffatto impianto: da un lato, si evitano storture quali la figura ibrida dell’inquirente/esperto; dall’altro, limitando l’attività sul dato ad una fase successiva – oppure, ad un intervento diretto dell’esperto per la creazione della copia forense – si aggira il problema dell’inquinamento involontario della prova per mano di operanti non in possesso delle conoscenze tecniche sufficienti.
Al contrario, l’intervento di chirurgia lessicale operato dal riformatore, rimodellando istituti evidentemente commisurati ad una realtà fisica al fine di adattarli ad una realtà digitale, ha inevitabilmente finito per creare discrasie interne al sistema, quale, appunto, la sovrapposizione di istituti come l’ispezione e la perquisizione145.
un’alterazione del sistema stesso o dei dati ed una modifica dei file o del loro contenuto (soprattutto se il file o la “cartella” vengono aperti). In questo caso, il sistema, se stimolato da una operazione anche semplice come il click del mouse, autonomamente effettua una serie di operazioni in grado di modificare informazioni interne al sistema stesso. Ciò potrebbe porre in essere un’attività contrastante con il nuovo disposto dell’art. 244 c.p.p. che stabilisce la necessità di adottare misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione. L’attività posta in essere in questo caso sembra andare oltre il semplice “sguardo esplorante” tipico dell’ispezione. Tale attività sembra andare oltre il semplice scrutamento del contenuto, delle forme, delle qualità e caratteristiche del mezzo per giungere invece ad una attività più vicina a quella tipica di perquisizione». Così S.ATERNO-M.MATTIUCCI, Cloud forensics e nuove frontiere delle
indagini informatiche nel processo penale, cit., p. 876.
144 Così, lucidamente, L.LUPARIA, La ratifica della Convenzione Cybercrime del Consiglio d’Europa (L. 18 marzo 2008 n. 48), cit., p. 719.
145 Neppure può ritenersi che il riformatore fosse vincolato, nelle proprie scelte, dalla normativa pattizia. È
appena il caso di ricordare, in proposito, che – del tutto comprensibilmente – la Convenzione non prevedeva affatto ipotesi di ispezione informatica, limitandosi, all’art. 19, a teorizzare la necessità di misure legislative per consentire di «perquisire o accedere in modo simile: a) ad un sistema informatico o parte di esso e ai dati informatici ivi immagazzinati […]».
45
Tale sovrapposizione si accentua nella prassi, ove ispezione e perquisizione vengono compiute con le medesime modalità operative146. In entrambi i casi, come accennato, si realizza un duplicato del sistema informatico o telematico (copia forense). Creato, quindi, un ulteriore duplicato, su quest’ultimo vengono svolte le opportune operazioni tecniche.
Riallacciandosi a tale ultima osservazione, emerge un altro profilo degno di nota. Gli inquirenti, attraverso la copia forense dell’hard disk, reperiscono una quantità enorme di dati. Più in dettaglio, con la duplicazione del dato, gli operanti entrano in possesso della totalità dei dati contenuti all’interno dell’elaboratore, compresi dati cancellati ai quali nemmeno l’utilizzatore potrebbe – senza una strumentazione complessa – risalire. Appare, dunque, assai concreto il rischio che il mezzo di ricerca della prova si trasformi in un indebito strumento di reperimento di diverse notizie di reato147.
Come antidoto a simili abusi, la giurisprudenza ha da tempo chiarito che il decreto di perquisizione dei dati contenuti in un personal computer deve individuare, almeno nelle linee essenziali, gli oggetti da ricercare con riferimento a determinate attività illecite, sì da consentire che il mezzo di ricerca della prova trovi giustificazione in fatti addebitati ad un determinato soggetto e non sia eseguito sulla scorta di semplici congetture148.
Assunto certamente condivisibile, ma non risolutivo. Solo talvolta il reperimento di notizie di reato è causato da una scorretta attività consapevole degli inquirenti; spesso, invece, ciò è frutto di rinvenimenti casuali in corso d’indagine, eventualità resa ancor più probabile dalla grande quantità di informazioni conservate su apparecchiatura informatica. Sul punto, si registra un vuoto normativo; per limitare la possibilità di abusi, appare condivisibile la proposta di
146 Lo riferisce G.BRAGHÒ, L’ispezione e la perquisizione di dati, informazioni e programmi informatici, in
L.LUPARIA (a cura di), Sistema penale e criminalità informatica, cit., p. 196.
147 Cfr. P.P. PAULESU, Notizia di reato e scenari investigativi complessi: contrasto alla criminalità organizzata, operazioni «sotto copertura», captazione di dati digitali, in Riv. dir. proc., 2010, pp. 801-802;
nella dottrina nordamericana v., altresì, S.TREPEL, Digital Searches, General Warrants, and the Case for the
Courts, in 10 Yale J. L. & Tech., 2007, p. 120 ss.
148 In questi termini, proprio con riferimento ad un’ipotesi di indagini “esplorative” su un personal computer,
Cass., Sez. I, 4 luglio 2007, P.M. in proc. Pomarici, in Dir. internet, 2007, p. 585 ss. Cfr. le osservazioni di E. APRILE, Sequestro del computer di un giornalista, clonazione della relativa memoria e tutela del segreto
46
disciplinare compiutamente in via normativa il sequestro di tali risultanze sulla falsariga di quanto già avvenuto in altri ordinamenti149.
Onde evitare perquisizioni “esplorative”, si è prospettata, altresì, la necessità di un più frequente utilizzo dell’istituto previsto dall’art. 248 c.p.p.150. Secondo tale impostazione, la parte pubblica, nel corso di una indagine informatica, dovrebbe rivolgere una richiesta di consegna alla parte privata, e solo in caso di rifiuto ad opera di quest’ultima gli operanti sarebbero giustificati a procedere a perquisizione. Anche quest’ultima disposizione è stata oggetto di modifica ad opera della L. 48/2008. Segnatamente, il riformatore ha ampliato l’oggetto della richiesta di consegna presso le banche. Per rintracciare le cose da sottoporre a sequestro, o per accertare altre circostanze utili a fini investigativi, gli operanti possono esaminare, oltre a atti, documenti e corrispondenza, anche dati, informazioni e programmi informatici (art. 248, comma 2, c.p.p.).
Deve recisamente escludersi che il riferimento alle “banche” nella suddetta disposizione intenda richiamare le banche dati presso qualsiasi struttura, pubblica o privata. Tale peculiare interpretazione era stata propugnata da una Procura della Repubblica, al fine di giustificare una richiesta di consegna, prima, ed un decreto di perquisizione e sequestro, poi, delle credenziali di accesso ad un sistema informatico di prenotazione di voli on-line di una compagnia aerea151. Tale decreto, nelle intenzioni della pubblica accusa, avrebbe dovuto portare all’identificazione di passeggeri sospettabili di fungere da corrieri internazionali di stupefacenti.
Com’è agevole avvertire, si tratta di un evidente caso di utilizzo di un mezzo di ricerca della prova come strumento per reperire notitiae criminis. Bene ha fatto, dunque, la Corte di Cassazione a censurare simile abuso152. Del tutto condivisibile il percorso argomentativo dei giudici di legittimità, i quali hanno rilevato come, in
149 Come accade per i Zufallsfunden nella StPO tedesca: auspica l’introduzione di una disciplina analoga, per
diminuire il rischio di abusi dei mezzi di ricerca della digital evidence, R.ORLANDI, Questioni attuali in tema
di processo penale e informatica, cit., pp. 136-137. Il § 108 della StPO prevede, come riferisce l’Autore, che,
non appena rinvenuta una res pertinente a reato diverso rispetto a quello per cui si procede, la perquisizione deve essere «bloccata dalla polizia o dal pubblico ministero, in attesa che il giudice dell’indagine preliminare (Ermittlungsrichter), appurato il corretto operare dell’autorità requirente, emetta più duraturo provvedimento di sequestro».
150 V., sul punto, A.LOGLI, Sequestro probatorio di un personal computer. Misure ad explorandum e tutela della corrispondenza elettronica, in Cass. pen., 2008, p. 2957 ss..
151 Ne riferisce Cass., Sez. IV, 24 maggio 2012, n. 19618, in Cass. pen., 2013, p. 1523 ss. 152 V. Cass., Sez. IV, 24 maggio 2012, n. 19618, cit.
47
presenza di un mero sospetto di commissione di un crimine non meglio identificato, i dati informatici presenti all’interno di un sistema di prenotazione di voli non possono in alcun modo essere qualificati cose pertinenti al reato, come pure richiesto dall’art. 247, comma 1-bis, c.p.p.
Inoltre, la Corte ha rilevato che, nel sistema italiano, ogni qualvolta il legislatore ha inteso far riferimento ad una banca dati, si è utilizzata la dizione di sistema informatico o telematico; di tal ché, non vi sono dubbi che le banche cui si riferisce l’art. 248 c.p.p. siano esclusivamente gli istituti di credito153.